Hola, ya esta solucionado
Al final de alguna forma te hice CASO indirectamente pero aun usé políticas por
defecto ACCEPT en FORWARD y NAT
Después de haber testeado layer7 e ipp2p , al final NINGUNO bloquea.. la misma
documentacion de layer7 dice que no se puede hacer DROP , más bien SI realizar
QoS por servicio con MASK/MANGLE/CBQ. Esto debido a que los protocolos algunas
veces los detecta como ares o como bitttorrent, o al final ni detecta la
secuencia layer7 del servicio que deseas.
Al final lo que hice fue desactivar el POSTROUTING MASQUERADE a toda la red.
Con esto ya nadie sale, ni aun teniendo reglas FORWARD, de ahi esmascaré el 21
,20, 443 y el 80 se lo deje al squid transparente...
Si se percatan es casi lo mismo que un DROP por defecto, porque voy
esmascarando puerto a puerto
Con eso P2P murio, y yo happy.
Saludos
Jaime M. Tan Nozawa
PD: Agredecimientos a mi amigo Alfredo por el tip
#NO ESMASCARAR TODO, solo puerto a puerto ::: X.X.X.X/24 es mi LAN
#iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -j MASQUERADE -- > NO
USAR
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport
53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p udp -m tcp --dport
53 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport
20 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport
31 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s X.X.X.X/24 -p tcp -m tcp --dport
443 -j MASQUERADE
Aland Laines <[EMAIL PROTECTED]> escribió: y por que no aplicas el drop como
politica por defecto y abres lo que nesecitas solamente?
claro esta si es que tienes realmente claro los puertos o servicios que
estarias utilizando, y a los usuarios que nesecitan navegar los mandas por un
proxy transparente.
Aunque he tenido casos que han usado tuneles http para hacer funcionar sus
aplicaciones, pero igual es mejor usar drop como base...
Saludos...
2008/5/23, Jaime Tan N. <[EMAIL PROTECTED]>: Buenas tardes,
saben que no recurriría a la lista , si es que no es un caso extremo...
He estado probando actualmente con todo... he testeado ipp2p .. he recompilado
mi kernel varias veces y el iptables ... estoy usando ademas layer7 de
iptables..
y aun creando las reglas sigue pasando el ares y otros programas p2p como el
limeware...
Alguien me dijo por ahi que se podía bloquear jugando con el MASQUERADE
Alguna ayuda o alguien que haya podido bloquear P2P ... (sin bloquear todos los
puertos)
Gracias por su atencion
Jaime M. Tan Nozawa
Anexo:
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto msnmessenger -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto skypeout -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto skypetoskype -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto bittorrent -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto gnutella -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto fasttrack -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto edonkey -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto kugoo -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto xunlei -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto code_red -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto poco -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto 100bao -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto socks -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto nimda -j DROP
/sbin/iptables -t mangle -I PREROUTING -m layer7 --l7proto ares -j DROP
---------------------------------
Yahoo! Deportes Beta
¡No te pierdas lo último sobre el torneo clausura 2008!
Entérate aquí http://deportes.yahoo.com
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
--
Aland Laines Calonge
Tecnico en Informatica
http://www.lainessoluciones.com (en construccion)
_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
---------------------------------
Yahoo! Deportes Beta
¡No te pierdas lo último sobre el torneo clausura 2008!
Entérate aquí http://deportes.yahoo.com_______________________________________________
Lista de correo Linux-plug
Temática: Discusión general sobre Linux
Peruvian Linux User Group (http://www.linux.org.pe)
Participa suscribiéndote y escribiendo a: [email protected]
Para darte de alta, de baja o hacer ajustes a tu suscripción visita:
http://listas.linux.org.pe/mailman/listinfo/linux-plug
IMPORTANTE: Reglas y recomendaciones
http://www.linux.org.pe/listas/reglas.php
http://www.linux.org.pe/listas/comportamiento.php
http://www.linux.org.pe/listas/recomendaciones.php
